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PROCEDE DE CONFIGURATION D'UNE MEMO IRE TRIE POUR LE 
TRAITEMENT DE PAQUETS DE DONNEES, E T DISPOSITIF DE 
TRAITEMENT DE PAQUETS METTANT EN CEUVRE UN TEL PROCEDE 



La presente invention concerne un procede de traitement de paquets 
de donnees selon des regies appliquees a chaque paquet de donnees, en 
fonction de donnees contenues dans ce paquet. 

Elle concerne plus particulierement un procede de configuration d'un 
dispositif de memoire particulier utilise pour le traitement de paquets de 
donnees. 

j La demande de brevet FR-A-2 812 491 divulgue un dispositif de 

controle d'acces pour reseaux ATM. Ce dispositif comprend un controleur 
d'acces qui configure des analyseurs de trafic pour traiter une a une les 
cellules porteuses du trafic ATM. Les analyseurs de trafic precedent, par. 
analyse du contenu des cellules porteuses de trafic ATM en leur associant des 

5 references d'acheminement au moyen d'une memoire associative de type Trie. 
De tels dispositifs peuvent aussi etre utilises dans des routeurs IP, des 
dispositifs de securite («Firewall»), des dispositifs de mesure de trafic; etc. 
Selon ces applications, le traitement affecte a chaque paquet de donnees peut 
etre un adressage de ce paquet, une modification de donnees de ce paquet, 

>o I'enregistrement d'une information etablie a partir de ce paquet, ou, de fagon 
generale, une action determinee a partir du contenu de ce paquet. 

L'interet de Tutilisation d'une memoire de type Trie est de permettre 
une analyse rapide et dans un ordre quelconque de parties des contenus des 
cellules porteuses de trafic. Une telle memoire et son utilisation dans I'analyse 
25 de paquets de donnees sont decrites dans la demande de brevet 
EP-A-1 030 493 ou US S.N. 09/493,583, qui est incorporee ici a titre de 
reference. 

La configuration de la memoire Trie est mise en ceuvre au niveau du 
gestionnaire de controle d'acces. 
30 un objectif de la presente invention est d'obtenir une configuration de 

cette memoire qui permette d'affecter un traitement approprie a chaque paquet 
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de donnees en fonction de parties de son contenu. 

L'invention propose un procede de configuration d'une memoire 
associative de type Trie pour le traitement de paquets de donnees en fonction 
d'un ensemble de regies. La memoire Trie est utilisee pour I'analyse de 
chaTnes binaires situees a des emplacements determines de chaque paquet de 
donnees. Chaque regie attribue une action a un paquet en fonction des valeurs 
desdites chaines binaires. La memoire Trie comporte des registres composes 
d'un nombre determine de cellules elementaires pour recevoir des references 
respectives. 

Selon l'invention, le procede comprend une etape au cours de laquelle 
on traduit I'ensemble de regies en un arbre d'analyse des paquets, comportant 
des noeuds repartis en etages successifs respectivement associes aux 
emplacements consideres dans un ordre determine, des arcs, et des feuilles 
correspondant a des actions attribuables par les regies. Chaque arc a un nceud 
de depart et un point d'arrivee consistant soit en un nceud de I'etage suivant 
celui du noeud de depart soit en une feuille. Le premier etage comprend un 
unique noeud racine. Chaque arc de I'arbre est associe a un domaine de 
valeurs consistant en une reunion de k intervalles elementaires definis pour 
I'emplacement associe a I'etage de son noeud de depart, k etant un entier au 
moins egal a 1 . L'arbre d'analyse definit ainsi des chemins consistant' chacun 
en une suite de n arcs, n etant un entier au moins egal a 1, tels que le point 
d'arrivee de chaque arc d'un chemin autre que le dernier arc soit le noeud de 
depart de Tare suivant dudit chemin, et que le point d'arrivee du dernier arc du 
chemin soit une feuille correspondant a une action attribuee d'apres I'ensemble 
des regies a chaque paquet ayant, aux n emplacements respectivement 
associes aux etages des nceuds de depart des n arcs du chemin, des valeurs 
de chame binaire tombant dans les n domaines respectivement associes 
auxdits arcs. 

Le procede comprend en outre une etape au cours de laquelle on 
alloue un groupe de registres de la memoire Trie incluant un registre portier a 
chaque nceud de I'arbre d'analyse appartenant a un etage associe a un 
emplacement, et on enregistre dans les cellules de ce groupe de registres des 
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references telies qu'en analysant a partir du registre portier la valeur de chaine 
binaire contenue audit emplacement dans un paquet, on obtienne tine 
reference finale dependant de quel domaine contient ladite valeur parmi les 
domaines de valeurs associes aux arcs ayant ledit noeud comme noeud de 
5 depart et telle que : 

- si Tare associe au domaine contenant ladite valeur a pour point d'arrivee 
une feuille correspondant a une action, la reference finale designe ladite 
action comme etant attribute au paquet, et 

- si Tare associe au domaine contenant ladite valeur a un autre noeud de 
10 I'etage suivant pour point d'arrivee, la reference finale designe ledit autre 

noeud pour poursuivre en analysant la valeur de chaTne binaire contenue 
dans le paquet a ('emplacement associe audit etage suivant. 

Un tel mode de configuration de la memoire Trie offre une grande 
flexibility pour prendre en compte une grande diversite de regies de 
15 classement du trafic, qui peuvent correspondre a diverses actions a 
entreprendre sur les paquets de donnees en fonction du contenu des 
emplacements analyses. Les chemins de I'arbre correspondent a des graphes 
d'analyse qui sont parcourus au moyen d'operations d'indexation et 
d'indirection dans la memoire Trie ainsi configuree. 

la duree d'analyse d'un paquet de donnees quelconque est limitee par une 
borne superieure fixee par Tanalyse consideree. Cette borne correspond a la 
hauteur de I'arbre d'analyse, e'est-a-dire au nombre de champs a analyser. 
Ceci permet a I'operateur d'un reseau de communication utilisant I'invention de 
25 realiser un traitement en temps reel des paquets de donnees qui se presentent 
a I'entree de Tanalyseur de trafic, en allouant des moyens d'analyse suffisants. 

Selon I'invention, I'ordre considere a I'etape de construction de I'arbre 
d'analyse resulte avantageusement d'un tri des emplacements opere apres 
denombrement d'intervalles elementaires. Pour chacun des emplacements, on 
30 definit des intervalles elementaires consecutifs couvrant des valeurs de chaine 
binaire pouvant apparaitre a cet emplacement, chaque intervalle elementaire 
etant tel que Taction attribute par chacune des regies ne soit pas modifiee par 
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un changement, a I'interieur dudit intervalle elementaire, de la valeur de la 
chame binaire situee audit emplacement dans un paquet traite. Le tri des 
emplacements est alors opere dans un ordre tel que ('emplacement pour lequel 
le plus grand nombre d'intervalles elementaires a ete defini soit place en 
5 dernier. On peut notamment trier les emplacements dans I'ordre des nombres 
croissants d'intervalles elementaires. 

Un avantage de tels tris d'emplacements reside dans la minimisation 
de la taille de la memoire Trie necessaire pour I'analyse du contenu de chaque 
paquet de donnees, a partir duquel une action est attribuee a chaque paquet 
10 d'apres I'ensemble des regies. Ainsi, un grand nombre de paquets de donnees 
correspondant a une variete importante d'actions attributes a chacun d'eux 
peut etre traite avec une operation unique d'analyse des contenus de ces 
paquets. 

En general, une memoire Trie se presente sous la forme d'un tableau 
15 dont les lignes, appelees registres, comportent un nombre fixe de cellules, par 
exemple 4, 8, 16 ou 32 cellules. La taille de la memoire Trie correspond alors 
au nombre de registres de cette memoire. La presente invention permet done 
de reduire le nombre de registres necessaires pour effectuer une analyse 
donnee du contenu des paquets de donnees. 
20 Le procede de configuration de la memoire Trie de I'invention 

comprend la transcription de I'arbre d'analyse dans cette memoire sous forme 
de references inscrites dans les cellules de la memoire. Un arbre d'analyse 
volumineux requiert en general une memoire Trie de taille d'autant plus grande. 
II est par consequent avantageux de concevoir I'arbre d'analyse et sa 
25 transcription de facon a reduire la taille necessaire de la memoire Trie. 

Le nombre d'etages de nceuds de i'arbre d'analyse correspond au 
nombre d'emplacements a I'interieur des paquets de donnees auxquels les 
chaTnes binaires sont a lire. 

On peut determiner une borne superieure de la dimension de I'arbre 
30 d'analyse de la fa?on suivante. Le premier etage de I'arbre d'analyse comprend 
le noeud racine comme unique nceud. Le second etage de I'arbre d'analyse 
comprend un nombre de nceuds au plus egal au nombre d'intervalles 



1er depot 



-5- 

eiementaires definis pour I'emplacement place en premier seion I'ordre retenu 
pour les emplacements. Le nombre de noeuds du troisieme etage de I'arbre 
d'analyse est egal au plus au produit des deux nombres d'intervalles 
elementaires respectivement definis pour les deux emplacements auxquels 
sont associes les deux premiers etages de noeuds. De fa?on recurrente, le 
nombre de noeuds d'un etage quelconque de I'arbre d'analyse associe a un 
emplacement donne est inferieur ou egal au produit des nombres d'intervalles 
elementaires respectivement definis pour tous les emplacements precedant 
I'emplacement auquel est associe I'etage considere selon I'ordre de tri des 
emplacements. 

Si N designe le nombre d'emplacements de chaines binaires definis 
dans les paquets de donnees sur lesquels est basee I'analyse des paquets, le 
nombre de noeuds du dernier etage de I'arbre d'analyse est done inferieur au 
produit des (N - 1) nombres d'intervalles elementaires correspondant aux (N - 
1) premiers emplacements selon I'ordre de tri des emplacements. Autrement 
dit, il est inferieur a la valeur egale au produit de tous les nombres d'intervalles 
elementaires divise par le nombre d'intervalles elementaires du dernier 
emplacement selon cet ordre. Cette valeur constitue done une borne 
superieure du nombre de noeuds du dernier etage de I'arbre d'analyse, qui 

Pour des intervalles elementaires fixes pour tous les emplacements, cette 
borne superieure est la plus petite lorsque I'ordre de tri des emplacements est 
tel qu'est place en dernier celui des emplacements pour lequel le plus grand 
nombre d'intervalles elementaires a ete defini. 

Dans certaines applications du procede selon I'invention, les chaines 
binaires lues auxdits emplacements sont des nombres ou des valeurs 
comprenant des nombres. II est alors particulierement commode de definir les 
intervalles elementaires en respectant une relation d'ordre entre ces nombres, 
ou en utilisant une relation d'ordre adaptee a la structure des valeurs lues, pour 
permettre une configuration rapide de la memoire Trie. 

Dans un mode de realisation prefere du procede selon ['invention, la 
traduction de I'ensemble de regies en un arbre d'analyse est telle qu'au moins 
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un noeud de I'arbre d'analyse soit le point d'arrivee de plusieurs arcs issus de 
nceuds de depart distincts de I'etage precedent. Ce mode de realisation permet 
une compression des structures de classement definies dans la memoire Trie, 
qui procure un gain spatial important dans cette memoire. 

Pour cela, on associe a chaque nceud de I'arbre d'analyse autre que la 
racine de I'arbre d'analyse un sous-arbre. Ce sous-arbre a une racine 
constitute par ledit nceud et est compose des nceuds, des arcs et des feuilles 
rencontres a partir dudit nceud le long des differents chemins passant par ledit 
nceud. La traduction de I'ensemble de regies est albrs operee de facon telle 
que I'arbre d'analyse n'inclue pas de premier et second sous-arbres ayant des 
racines distinctes et tels qu'on puisse apparier leurs nceuds respectifs, leurs 
arcs respectifs et leurs feuilles respectives, de telle sorte que chaque nceud du 
premier sous-arbre soit apparie a un noeud du second sous-arbre appartenant 
au meme etage, que chaque feuille du premier sous-arbre soit appariee a, une 
feuille du second sous-arbre correspondant a une meme action, et que deux 
arcs apparies des premier et second sous-arbres aient des nceuds de depart 
apparies et des points d'arrivee apparies et soient associes au meme domaine 
de valeurs. 

Selon une formulation particuliere des regies de I'ensemble, chaque 
regie est definie par une action et des plages de valeurs correspondant 
respectivement a certains au moins des emplacements, et attribue ladite action 
aux paquets ayant, auxdits emplacements, des valeurs de chames binaires 
tombant respectivement dans lesdites plages. Pour un traitement generique de 
toutes les regies, on a recours a la precaution suivante : lorsque, pour un 
emplacement donne, une regie ne presente pas de plage explicitee, une plage 
lui est ajoutee qui correspond a cet emplacement et qui comprend I'ensemble 
des valeurs de chaTnes binaires pouvant etre lues dans des paquets de 
donnees a cet emplacement. 

Pour une telle formulation des regies, on associe un sous-ensemble de 
regies a chaque nceud d'un (p+1)-ieme etage de I'arbre d'analyse, p etant un 
entier plus grand que 0. Ledit sous-ensemble est compose des regies de 
I'ensemble telles que chaque plage de valeurs correspondant a un 
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Des priorites peuvent etre respectivement allouees aux regies de 
I'ensemble. Dans ce cas, lorsque plusieurs regies sont detectees et aucune de 
leurs plages de valeurs ne correspond a I'un des emplacements suivant le 
p-ieme emplacement, Taction correspondent a la feuille de I'arbre affectee audit 
arc est celle de Tune des regies detectees, selectionnee sur la base des 
priorites allouees. 

Afin d'eviter que I'arbre d'analyse ne comporte des sous-arbres ayant 
des racines respectives distinctes et dont on peut apparier, entre eux, les 
nceuds, arcs et feuilles appartenant respectivement a chacun d'eux, on execute 
les etapes suivantes lorsqu'on a detecte au moins une regie ayant une plage 
de valeurs correspondant a I'un des emplacements suivant le p-ieme 
emplacement : 

- rechercher s'il a deja ete genere un nceud du (p+1)-ieme etage de I'arbre 
associe au second sous-ensemble ; 

- si la recherche echoue, generer un tel noeud dans le (p+1)-ieme etage ; 

- si la recherche identifie un noeud du (p+1)-ieme etage, affecter le noeud 
identifie comme point d'arrivee dudit arc. 

La presente invention concerne aussi un djspositif de traitement de 
paquets de donnees, comprenant une memoire associative de type Trie et un 
controleur adapte pour mettre en oeuvre un procede de configuration de la 
memoire Trie tel que defini ci-dessus..Ces.dispositifs peuvent notamment etre 
utilises dans les applications suivantes : 

- I'acheminement par un reseau de communication de paquets de donnees 
en fonction de regies d'acheminement appliquees a ces paquets ; 

- le controle d'acces a un reseau de communication par des paquets de 
donnees en fonction de regies de controle d'acces a ce reseau 
appliquees a ces paquets ; 

- ('acquisition d'informations co.ncernant des paquets de donnees transmis 
par un reseau de communication. 

Les paquets de donnees peuvent etre notamment des cellules ATM 
porteuses de trames AAL 5 ou des paquets IP. 

D'autres particularites et avantages du procede de la presente 
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invention apparaTtront dans la description ci-apres d'exempies de mise en 
oeuvre non limitatifs, en reference aux dessins annexes, dans lesquels : 

- la figure 1 est un schema synoptique d'un dispositif de controle d'acces 
dans lequel est mis en oeuvre le procede de I'invention ; 

5 - la figure 2 est un tableau decrivant des informations traitees par des 

analyseurs de trafic du dispositif de la figure 1 ; 

- la figure 3 represente un arbre d'analyse resultant de deux regies 
particulieres appliquees a des couples de nombres (x, y), et n'utilisant 
pas la presente invention ; 

10 - la figure 4 represente un second arbre d'analyse correspondant aux 

regies donnees pour I'arbre d'analyse de la figure 3, en utilisant le 
classement des emplacements selon la presente invention ; 

- la figure 5 represente un arbre d'analyse resultant de trois regies 
particulieres appliquees a des triplets de nombres (x, y, z), et n'utilisant 

15 pas la presente invention ; 

- la figure 6 represente un second arbre d'analyse correspondant aux 
regies donnees pour I'arbre d'analyse de la figures, en utilisant le 
classement des emplacements selon la presente invention ; 

-la figure 7 represente un troisieme arbre d'analyse correspondant aux 
regies donnees pour I'arbre d'analyse de la figure 5, en utilisant en outre 
des regroupements de sous-arbres selon la presente invention ; 

- la figure 8 est un schema synoptique des etapes de creation d'un nouvel 
arc selon le mode de mise en oeuvre prefere du procede de I'invention ; 

- - la figure 9 represente un quatrieme arbre d'analyse correspondant aux 
regies donnees pour I'arbre d'analyse de la figures, en utilisant le 
classement des emplacements et la methode de creation des arcs de la 
figure 8 . 

La structure d'un dispositif de controle d'acces dispose entre deux 
reseaux de transmission ATM (« Asynchronous Transfert Mode »), dans lequel 
peut etre mis en oeuvre le procede de I'invention, est decrite en detail dans la 
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demande de brevet PCT/FR01/02394. Comme indique sur la figure 1, un 
dispositif de controle d'acces peut etre compose de deux parties principales 
1 , 2 cooperant avec un commutateur ATM 3. La premiere partie 1 est dediee a 
la prise en compte d'une politique de controle d'acces et a I'analyse de la 
signalisation ATM. Le resultat de cette analyse est utilise pour construire 
dynamiquement une configuration. Celle-ci est utilisee par la seconde partie 2 
pour fournir un service de controle d'acces base sur les informations 
transporters dans les cellules ATM. Cette seconde partie 2 est capable de 
recuperer les informations de niveau ATM, IP et transport afin de decider si une 
communication doit etre autorisee ou interdite. La configuration de I'ensemble 
se fait au moyen d'un langage unique. 

La partie 1 peut etre realisee au moyen d'une station de travail, telle 
qu'une station commercialisee par la societe Sun Microsystem, Inc. L'analyseur 
de signalisation 4 est ('element de cette partie 1 qui effectue les actions de 
controle d'acces au niveau de la signalisation ATM en combinaison avec le 
gestionnaire de controle d'acces 7. 

La partie 2 peut etre realisee au moyen d'une station de type PC 
fonctionnant par exemple avec le systeme d'exploitation Solaris x86. Cette 
station est equipee de cartes 20, 21 d'analyse en temps reel des cellules ATM, 
ou analyseurs de trafic, ci-apres appelees cartes I FT (« IP Fast Translator »), 
qui assurent les actions de controle d'acces cellule ATM par cellule ATM. 

Afin de permettre I'expression de politiques de controle d'acces, on 
utilise un Langage de Definition de Politique de Controle d'Acces (ACPDL, 
« Access Control Policy Description Language »). La definition de I'ACPDL est 
basee sur le Langage de Description de Politique (PDL) en cours de definition 
au sein du grqupe de travail travaillant sur les politiques a I'lETF (voir J. 
Strassner, et al., « Policy Framework Definition Language », draft-ietf-policy- 
framework-pfdl-00.txt, Internet Engineering Task Force, 17 novembre 1998). 
Dans ce langage, une politique est definie par un ensemble de regies, chaque 
regie etant elle meme constitute d'un ensemble de conditions et d'une action 
qui est executee lorsque I'ensemble des conditions est rempli. L'expression 
suivante (exprimee dans le formalisme Backus Naur, BNF) decrit la forme 
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generate d'une regie : 

Rule ::= IF <Conditions> THEN <Action> 

Toutes les conditions ont la meme structure generique exprimee 
ci-dessous au moyen du formalisme BNF: 

* Condition :: = <ACCESS CONTROL PARAMETER > 
RELATIONAL OPERATOR > <VALUE> 

En fonction du niveau dans la pile de protocole, plusieurs types de 
parametres de controle d'acces peuvent etre utilises : 

- au niveau ATM, les parametres interessants sont decrits dans I'article de 
O. Paul, et al., « Manageable parameters to improve access control in 
ATM networks », HP-OVUA Workshop, Rennes, France, avril 1998. 
Parmi ceux-ci, on peut choisir le type de trafic, les identificateurs de 
connexion, les informations d'adressage, les descripteurs de QoS et les 
descripteurs de service ; 

- au niveau transport, la plupart des parametres consideres sont ceux qui 
sont utilises habituellement afin de realiser le filtrage des paquets dans 
les routeurs filtrants (par exemple les informations d'adressage, les ports 
source et destination, les drapeaux dans le cas des connexions TCP, 
etc. ) ; 

Tidentificateur de I'utilisateur de ('application ainsi que Tetat de 
I'application ; 

- des informations temporelles sont egalement incluses afin de specifier 
quand une regie doit etre appliquee. 

Les actions ont egalement une structure generique (notation BNF) : 

Action <ACTION> <ACTION LEVEL> <LOG LEVEL > 

Une action se decompose en trois parties. La premiere indique si la 
communication decrite par les conditions doit etre autorisee ou interdite. Le 
parametre <action level> correspond a la couche protocolaire dans 
laquelle doit etre effectuee Taction. La derniere partie decrit importance 
accordee a I'evenement de controle d'acces et permet la classification des 
resultats. 
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Le paragraphe suivant montre comment le langage ACPDL peut etre 
utilise afin d'exprimer un exemple de service de controle d'acces. Dans cet 
exemple, chaque equipement est identifie par son adresse source 
(ip_src_address) et son adresse destination (ip_dst_address). Le 
service WWW est identifie par les ports source (src_port) et destination 
(dst_port). La deuxieme ligne de commande donnee dans I'exemple est 
utilisee afin d'interdire les demandes de connexion sur le port WWW d'une 
station interne. 

IF (IP_SRC_ADDRESS = 192.165.203.5 255.255.255.255) AND 
(IP_DST_ADDRESS = 0.0.0.0 0.0.0.0) AND (SRC_PORT > 1023) 
AND (DST_PORT = 80) THEN PERMIT TRANS P_CONNECT ION ; 
IF (IP_SRC_ADDRESS = 0.0.0.0 0.0.0.0) AND 
(IP_DST_ADDRESS = 192.165.203.5 255.255.255.255) AND 
(SRC_PORT = 80) AND (DST_PORT > 1023) AND ,(TCP_FLAG <> 
SYN) THEN PERMIT TRANSP_CONNECTION ; 

La politique de controle d'acces est definie par I'officier de securite au 
moyen d'une interface homme-machine (IHM) 6 de la station 1, en utilisant le 
langage ACPDL. Elle est utilisee pour configurer les deux parties du controleur. 
Cependant cette politique ne peut pas etre utilisee directement par les deux 
outils de controle d'acces 4, 20/21 . Le gestionnaire 7 est le module qui permet 
de resoudre ce probleme en traduisant la politique de controle d'acces en 
commandes de configuration pour les deux outils. 

Ce processus de traduction peut etre divise en deux parties 
principales. La premiere est la traduction de la politique en trois configurations 
statiques : 

- au niveau de la signalisation ATM, cette configuration comprend une 
description des communications devant etre controlees. Chaque 
communication est decrite par un ensemble d'elements d'information (IE) et par 
une action (Autoriser ou Interdire). Cette configuration est envoyee a 
I'analyseur de signalisation 4 ; 

- au niveau TCP/IP la configuration comprend une description des 
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associe aux autres informations (adresses, encapsulation, identificateurs de 
connexion, direction). Cet ensemble d'informations est utilise par le 
gestionnaire afin de construire I'arbre d'analyse qui sera utilise pour configurer 
les cartes IFT, et est conserve durant toute la vie de la connexion. A la 
fermeture de connexion, le gestionnaire 7 recoit un signal de l'analyseur de 
signalisation 4 afin de reconfigurer eventuellement les cartes IFT 20, 21 en 
effacant les informations relatives a la connexion. Le gestionnaire detruit 
ensuite les informations associees a la connexion. 

L'analyseur de signalisation 4 repose sur deux fonctions. La premiere 
est la redirection des messages de signalisation provenant des reseaux interne 
et externe vers un filtre appartenant a l'analyseur 4. La seconde est la capacite 
de decomposer les messages de signalisation suivant la specification UNI 3.1 
de I'ATM Forum (« ATM User-Network Interface Specification, Version 3.1 », 
ATM Forum, juillet 1994) et de transmettre ou desupprimer ces messages en 
fonction de la configuration de controle d'acces fournie par le gestionnaire 7. 

La station 1 est pourvue de deux cartes d'interface ATM 8,9 
respectivement reliees a deux interfaces 12, 13 du commutateur 3. Les autres 
interfaces representees du commutateur 3 sont notees 10 (reseau interne), 11 
(reseau externe), 14 et 15 (cartes IFT 20 et 21). 

Afin de rediriger la signalisation, le commutateur ATM 3 est configure 
de fagon a diriger les messages de signalisation vers la station 1 . Cette 
configuration peut etre realisee en desactivant le protocole de signalisation sur 
les interfaces 10, 11, 12 et 13. Un canal virtuel (VC) doit etre ensuite construit 
entre chaque paire d'interfaces pour chaque canal de signalisation. Les canaux 
de signalisation sont par exemple identifies par un identifiant de canal virtuel 
(VCI)egala5. , 

Avec la configuration precedente, les messages de signalisation 
provenant du reseau externe sont diriges vers I'interface 13 de la station 1 
alors que les messages provenant du reseau interne sont diriges vers 
Tinterface 12. 

Lorsque des messages de signalisation sont regus par I'analyseur de 
signalisation 4, ceux-ci sont decomposes en elements d'information suivant la 
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specification UNI 3.1. Les elements conformation sont ensuite decomposes en 
informations elementaires telles que les adresses, les identificateurs de 
connexion, la reference d'appel, les descripteurs de quaiite de service et les 
identificateurs de service. L'analyseur 4 cherche ensuite si le message peut 
etre associe a une connexion existante au moyen du type du message et de la 
reference d'appel. Si la connexion est nouvelle, un descripteur de connexion 
contenant ces informations est construit. Quand la connexion existe deja, le 
descripteur de connexion est mis a jour. Le descripteur de connexion est 
associe a Tetat de la connexion et a I'interface d'origine. II est identifie par un 
identificateur de connexion. Le descripteur est ensuite envoye a au filtre de 
l'analyseur de signalisation 4 afin d'etre analyse. 

Lorsque le filtre de l'analyseur de signalisation 4 regoit un descripteur 
de connexion, il compare les parametres decrivant la connexion avec 
Tensemble des communications decrit par la politique de controle d'acces. Si 
une correspondance est trouvee, le filtre applique Taction associee a la 
communication. Dans le cas contraire, il applique Taction par defaut qui est 
d'interdire la connexion. Lorsque Taction consiste en une interdiction, le filtre 
detruit le descripteur de connexion. Dans le cas contraire, il envoie le 
descripteur de connexion a un module de construction des messages. Lorsque 



sous-ensemble des parametres du descripteur de connexion est envoye au 
gestionnaire 7 comme indique ci-dessus : 

- les identificateurs de connexion VPI/VCI, obtenus a partir de TIE 
« Connection Identifier » ; 

- les adresses ATM source et destination, fournies par les IE « Called 
Party Identifier)) et « Calling Party Identifier)) ; 

- les descripteurs de service, obtenus a partir des IE « Broadband Higher 
Layer Identifier (BHLI) » et « Broadband Lower Layer Identifier (BLLI) » ; 

- la direction, fournie par le nom de Tinterface associee au descripteur de 
connexion. 

Lorsque le descripteur de connexion indique la reception d'un message 
RELEASE_COMPLETE, qui acheve la liberation d'une connexion, le 
descripteur de connexion est de nouveau envoye au gestionnaire 7. Les 
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communications entre le gestionnaire 7 et le filtre de signalisation peuvent se 
faire de fagon classique au moyen d'un segment de memoire partage et de 
signaux. 

Les cartes I FT considerees ici pour la mise en oeuvre de Invention 
sont du type decrit dans la demande de brevet europeen n° 00400366.1 
deposee le 9 fevrier 2000 par la demanderesse. Elles sont basees sur 
('utilisation d'une memoire associative de type Trie pour I'analyse de parties du 
contenu de cellules ATM, et pour I'attribution, a chaque cellule d'une meme 
trame, d'une action defiriie par la politique de controle d'acces. Ces cartes 
possedent les caracteristiques remarquables suivantes : 

- elles permettent I'analyse de la premiere cellule de chaque trame AAL5 
(« ATM Adaptation Layer n° 5 ») et la modification des cellules 
correspondantes en fonction de I'analyse ; 

- elles peuvent fonctionner a la Vitesse de 622 Mbit/s grace a un , precede 
rapide et flexible d'analyse ; 

- le delai introduit par I'analyse peut etre borne et depend de la 
configuration de la carte ; 

- elles peuvent etre configurees dynamiquement sans interrompre le 
processus d'analyse ; 

- elles sont integrates dans des equipements de type PC sous Solaris. 

La figure 2 decrit les informations pouvant etre analysees par les cartes 
I FT 20,21 dans le cas des protocoles CLIP (CLIP1) et CLIP sans 
encapsulation SNAP-LLC (CLIP2). Les champs UD et TD indiquent le debut 
des segments de donnees pour les protocoles UDP et TCP, respectivement 
Ceci signifie que, dans le cas general, les cartes I FT ont acces aux 
informations de niveau ATM, IP, TCP, UDP et dans certains cas de niveau 
application. II faut cependant noter que les champs optionnels pouvant se 
trouver dans le paquet IP ne sont pas representes. La presence de ces 
champs (de longueur variable) peut repousser les informations de niveau TCP 
ou UDP dans la seconde cellule ATM. 

Comme dans le cas de la signalisation, la premiere partie du processus 
de controle d'acces au niveau cellule ATM consiste a rediriger le trafic 
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provenant des reseaux interne et externe vers les cartes IFT 20,21. 
Cependant, dans ce cas, la configuration doit preserver la configuration 
realisee pour le controle de la signalisation. A titre d'exemple, les canaux 
virtuels identifies par une valeur de VCI egal a 31 sont volontairement laisses 
5 libres afin de permettre au commutateur ATM 3 de rejeter les cellules ATM 
appartenant a une communication qui doit etre interdite. Le commutateur ATM 

3 est alors configure afin de creer un canal virtuel pour chaque valeur de VCI 
differente de 5 et de 31 entre chaque paire d'interface (10, 14) et (11, 15). 

Les cartes IFT considerees ne permettent que I'analyse de flux 
10 unidirectionnels. Ceci signifie que les flux provenant des reseaux interne et 
externe doivent etre separes. Cette operation est particulierement simple dans 
le cas d'une couche physique de type Mono Mode Fiber utilise par les cartes 
puisque les fibres d'emission et de reception sont physiquement separees. 

La seconde partie du processus de controle d'acces est la 
15 configuration des cartes IFT 20, 21 afin qu r elles fournissent le service de 
controle d'acces desire. Comme indique precedemment, cette configuration est 
faite par le gestionnaire 7. Les cartes IFT ont ete congues a I'origine pour etre 
gerees a distance par plusieurs gestionnaires. Un logiciel approprie 27 (demon 
RPC) est alors utilise dans la station 2 pour serialiser les demandes adressees 

7, une librairie donne acces aux fonctions de configuration. Cette librairie 
traduit les appels locaux en appels a distance sur la station 2. Les 
communications entre les deux equipements se font par exemple au travers 
d'un reseau dedie de type Ethernet. 

25 La configuration des memoires Trie des cartes 20, 21 se base sur une 

description des communications a controler sous forme d'arbres. Chaque 
branche de I'arbre decrit la valeur codee d'une chaine binaire, par exemple de 

4 bits, qui peut etre trouvee pendant le processus d'analyse. Ce processus 
consiste a parcourir la portion de cellule ATM a analyser par tranches de 4 bits 

30 successifs servant a acceder au contenu de la memoire Trie incluse dans 
chaque carte IFT. Un arbre d'analyse, construit a partir d'une instruction de 
controle d'acces fournie par le gestionnaire 7, correspond a un enchamement 
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donne de tranches de 4 bits trouvees a des emplacements determines en 
parcourant la cellule ATM. La racine de I'arbre correspond a un portier qui est 
reconnu afin de commencer Tanalyse de I'arbre. Des exemples d'arbres 
d'analyse et de configurations resultantes de memoires Trie de cartes I FT sont 
maintenant presentes. 

De fagon generate, chaque emplacement a analyser, ou champ, 
comprend un nombre de bits fixe par la dimension de ce champ, par exemple 
32 bits. Son analyse par tranches est effectuee de fagon a ce que les valeurs 
que peut revetir chaque tranche correspondent aux cellules elementaires d'un 
ou plusieurs registres de la memoire Trie utilisee. Un quartet, qui peut prendre 
2 4 =1 6 valeurs, est notamment adapte a une memoire Trie dont chaque registre 
comprend 16 cellules elementaires. Plusieurs registres, voire un grand nombre 
de registres, sont done necessaires pour I'analyse d'un champ, selon la 
dimension de ce champ par rapport au nombre de cellules elementaires d'un 
registre. 

L'analyse d'un champ comprend en general les analyses d'un grand 
nombre de tranches de bits, enchaTnees successiyement jusqu'a la poursuite 
par I'analyse d'un autre champ de la meme trame, ou jusqu'a I'obtention d.'une 
action attribute a la trame analysee par la politique de controle d'acces.^ Par 
souci de simplicite et de clarte d'illustration de invention, bien que cela ne 
corresponde pas a une situation reelle, les exemples presentes dans la suite 
ne comportent chacun qu'un seul quartet pour chaque champ sur lequel porte 
I'analyse. Pour les memes raisons de simplicite et de clarte, le nombre de 
regies considerees et le nombre de champs pris en consideration pour 
I'analyse sont tres reduits, alors qu'une politique de controle d'acces reelle peut 
comprendre de nombreuses regies d'acces portant sur un plus grand nombre 
de champs d'information de controle de protocole. 

Un premier exemple est donne pour deux champs x ety lus dans des 
cellules ATM, represents par des couples (x, y). Les chaines binaires lues 
dans les champs x ety sont des quartets represents par des nombres 
hexadecimaux compris entre 0 et F. 

Les regies considerees, au nombre de deux, sont les suivantes : 
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- Regie Re1 : si x > 7 et 3 < y < 8 , alors on effectue une action A1 ; 

- Regie Re2 :si2<x<Bety>3, alors on effectue une action A2. 

La regie Re1 est supposee prioritaire par rapport a la regie Re2, si 
bien que faction A1 est effectuee seule lorsqu'elle est attribuee simultanement 
a Paction A2 a un meme couple (x, y), respectivement par chaque regie. Si la 
condition d'aucune des deux regies Re1 et Re2 n'est satisfaite par un couple 
(x, y) donne, alors une action par defaut O est attribuee a ce couple. 

Les actions A1, A2 et O peuvent etre de simples actions de rejet 
(« DENY ») ou d'acceptation (« PERMIT ») des trames. Elles peuvent aussi 
correspondre a des actions plus complexes, telle que la poursuite du controle 
d'acces par I'examen d'autres parametres tels que des domaines autorises 
attribues a un destinataire de la trame consideree. 

faction de rejet ou d'acceptation est codee au moyen d'un nceud 
particulier provoquant la fin de I'analyse et renvoyant I'identificateur de 
connexion qui sera attribue a toutes les cellules de la trame AAL5 
correspondante. L'action « DENY » est codee en dirigeant la trame vers le 
canal non configure (VCI 31) au niveau du commutateur 3. Le VCI 31 est ainsi 
utilise comme VCI poubelle pour jeter toutes les cellules ATM non conformes a 

■l^<^^ 

I'identificateur de connexion inchange. 

L'ensemble des nombres pouvant etre lus dans le champ x est reparti 
par les regies Re1 et Re2 selon les 4 intervalles suivants : x<2, 2 < x < 7 , 
7<x<Betx>B.De facon analogue, l'ensemble des nombres pouvant etre 
lus dans le champ y est reparti selon les 3 intervalles suivants :y<3,3<y<8 
et y > 8 . 

Un arbre d'analyse resultant de I'application des deux regies Re1 
et Re2 aux couples (x, y) est represente sur la figure 3, en analysant d'abord la 
valeur dex, puis la valeur dey. Le noeud racine 100 represente le point de 
depart de I'analyse des couples (x, y). Trois nceuds101, relies chacun au 
noeud racine 100 par un arc 130, correspondent a des resultats de I'analyse de 
la valeur dex par rapport aux 4 intervalles identifies pourx. Des nceuds 102, 
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ou feuilles de I'arbre d'analyse, relies aux nosuds101 par des arcs 131, 
correspondent respectivement pour tes resultats precedents de I'analyse de la 
valeur de x aux resultats de I'analyse de la valeur de y par rapport aux 
3 intervalles identifies pour y. Pour certaines valeurs de x, par exemple x < 2, 
I'analyse des couples (x, y) ne necessite pas d'analyse de la valeur de y pour 
determiner Taction attribuee par les deux regies Re1 et Re2. Dans ce cas, un 
arc 131 relie directement une feuille 102 au noeud racine 100.. Dans d'autres 
cas, 2<x<7etx>B, I'analyse de la valeur de y ne fait pas intervenir toutes 
les bornes d'intervalles definies poury. En effet, certains intervalles definis 
poury peuvent etre reunis lorsqu'ils correspondent a des memes actions 
respectives attributes par les deux regies. 

Des Iignes110 et111 indiquent respectivement les feuilles 102 pour 
lesquelles Taction A2 et/ou Taction A1 est attribuee par les regies Re2 et Re1 , 
considerees separement. Enfm, en fonction de la priorite de ces actions,-: une 
ligne 120 indique Taction AA correspondant a chaque feuille 102 resultant de 
Tapplication des deux regies Re1 et Re2 combinees. Ainsi, la ligne 120 reprend 
la ligne 111 en la completant par Taction A2 pour celles des feuilles 102 pour 
lesquelles la ligne 110 attribue Taction A2 alors que la ligne 111 ne leur attribue 
aucune action. En outre, la ligne 120 attribue .Taction par. defaut O. aux 
feuilles 102 considerees dans aucune des deux lignes 110 et 111. a 

On utilise une memoire Trie dont les registres successifs R0, R1, 
R2, ... comprennent tous seize cellules elementaires. Un exemple de 
configuration de cette memoire Trie correspondant a Tarbre d'analyse de la 
figure 3 est le suivant : 
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Dans cette configuration de la memoire Trie, le registre portier RO est 
attribue a I'analyse de la valeur de x, et les registres R1 , R2 et R3 a I'analyse 
de la valeur de y. RO est done le registre par lequel I'analyse de chaque couple 
(x, y) est commencee. Selon la valeur de x du couple (x, y) analyse, le 

5 registre RO renvoie sur I'un des registres R1, R2 ou R3 pour la poursuite de 
I'analyse. Ce dernier registre indique alors, en fonction de la valeur de y du 
couple (x, y) analyse, Taction a effectuer associee a la feuille 102 de I'arbre 
d'analyse a laquelle aboutitle chemin qui correspond aux resultats successifs 
des analyses de x et de y. Selon cette configuration, 4 registres de memoire 

10 Trie sont necessaires pour permettre I'analyse de tous les couples possibles 
(x, y). 

En analysant d'abord la valeur y, puis la valeur x, pour I'application des 
memes regies Re1 et Re2, on obtient un arbre d'analyse tel que represents sur 
la figure 4. Des references identiques entre les figures 3 et 4 correspondent a 

15 des significations identiques. Sur la figure 4, les noeuds intermediates 103 
correspondent aux resultats de I'analyse de la valeur dey, effectuee en 
premier, lorsque I'analyse de la valeur de x doit etre effectuee ensuite. Pour 
chaque couple de nombres (x, y), cet arbre indique un meme resultat 
d'application des regies Re1 et Re2, sous la forme de faction AA indiquee par 

20 la ligne 120. 

En appliquant, a partir I'arbre d'analyse de la figure 4, la meme 
methode que precedemment pour la configuration de la memoire Trie, on 
obtient : 
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Ainsi, le classement selon invention des deux emplacements x et y 
permet, dans cet exemple, de reduire d'un registre la taille de la memoire Trie 
necessaire pour permettre I'application des memes regies de traitement. 

Un deuxieme exemple concerne un ensemble de regies appliquees a 
5 des triplets de nombres (x, y, z), chacun de ces nombres etant encore un 
nombre hexadecimal : ■ >iS - 

- Regie Re1 : si x > A et 3 < z < 8 , alors on effectue une action A1 ; 

- Regie Re2: si x>5 et,2<y<9 et z>6, alors on effectue une 
action A2 ; , 

10 - Regie Re3 : si 3 < x < C , alors on effectue une action A3. 

Dans cet exemple, la relation de priorite entre les trois regies est : 
Re2 > Re1 > Re3 . Seule Paction la plus prioritaire est encore finalement 
affectee a chaque triplet, parmi par les actions attributes par chacune des trois 
regies. Une action par defaut O est encore attribute a un triplet (x, y, z) qui 
15 satisfait les conditions d'aucune des trois regies. 

Ces trois regies definissent 5 intervalles pour le champ x : x < 3 , 
3<x<5 J 5<x<A,A<x<C,etx>C J 3 intervalles pour le champ y : y < 2 , 
2<y<9, et y>9, et 4 intervalles pour le champ z: z<3, 3<z<6, 
6<z<8,etz>8. 

20 La figure 5 represente un arbre d'analyse correspondant aux trois 

regies Re1, Re2 et Re3 precedentes, en analysant d'abord la valeur de x, puis 
la valeur de y, et enfin la valeur de z. Cet arbre d'analyse est construit de la 
meme fa<?on que les arbres des figures 3 et4. Les references 1 00 et120 
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possedent les significations deja introduces. Des noeuds 104 correspondent 
aux resultats de I'analyse de la vaieur de x qui ne permettent pas de 
determiner directement Taction indiquee par chaque regie, a savoir 5 < x < A, 
A < x < C et x > C. De meme, des noeuds 105 correspondent aux resultats de 
5 I'analyse de la vaieur dey lorsque I'analyse des triplets doit etre encore 
poursuivie par I'analyse de la vaieur dez. Selon les chemins, les feuilles 106 
de I'arbre d'analyse sont reliees par des arcs directs aux noeuds 100, 104 
ou 105. 

Des lignes 112, 113 et 114 indiquent, pour chacune des feuilles 106, 
10 les actions respective ment indiquees par chacune des trois regies, prises dans 
I'ordre de priorite croissante. Une ligne 120 designe Taction finale affectee a 
chaque triplet (x, y, z) en fonction de la priorite entre les actions indiquees par 
les trois regies. 

On utilise, par exemple, encore une memoire Trie a seize cellules 
15 elementaires par registre. Dans ce cas, la configuration de la memoire Trie, 
selon ce premier arbre d'analyse, necessite autant de registres que de 
noeuds 100, 104 ou 105, soit 9 registres au total. 

Un exemple de configuration de cette memoire Trie correspondant a 
Tarbre d'analyse de la figure 5 est le suivant : 
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De facon analogue, la figure 6 represente un arbre d'analyse 
correspondant aux regies Re1 , Re2 et Re3 en analysant d'abord la valeur de y, 
puis la valeur de z, et, en dernier, celle de x, conformement a I'ordre croissant 
du nombre d'intervalles definis respectivement pourx, y etz. Deux nceuds 
intermediaires 107 correspondent aux resultats de I'analyse des valeurs.de y, 
effectuee en premier lieu, et six nceuds intermediaires 108 aux resultats de 
I'analyse des valeurs de z, effectuee ensuite. 

Dans cet arbre d'analyse de la figure 6, les sous-arbres correspondant 
aux resultats des analyses de y puis z suivants [(y < 2 ou y > 9) et (z < 3 
ou z > 8)] d'une part, et [2 < y < 9 et z < 3] d'autre part, sont homologues. De 
meme pour les sous-arbres [(y < 2 ou y > 9) et 3 < z < 8] d'une part, et [2 < y< 9 
et 3 < z < 6] d'autre part. Par ailleurs, sur la figure 6, les actions AA attributes 
en fonction de la valeur de x, selon la ligne 120, pour des valeurs de y et z 
telles que [2 < y< 9 et 6 < z < 8] d'une part et [2 < y< 9 et z > 8] d'autre part sont 
identiques. L'arbre d'analyse de la figure 7 correspond alors a celui de la 
figure 6 en regroupant les sous-arbres homologues. 

La configuration de la memoire Trie, selon ce dernier arbre d'analyse, 
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necessite autant de registres que de noeuds 100, 107 ou 108, soit 6 registres 
au total. Ainsi, 3 registres de memoire Trie ont ete economises par rapport a la 
configuration de la memoire Trie issue de I'arbre d'analyse de la figure 5. Un 
exemple de configuration de la memoire Trie qui correspond a I'arbre d'analyse 
de la figure 7 est : 
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La figure 8 detaille les differentes etapes de la creation d'un nouvel arc 
de I'arbre d'analyse selon le mode de mise en oeuvre prefere du procede de 
('invention qui evite, des la construction de I'arbre d'analyse, la creation de 



10 arc issu d'un noeud NP d'un p-ieme etage de I'arbre d'analyse, et associe a un 
domaine D determine pour ('emplacement E p associe au p-ieme etage. 

La methode decrite est appliquee de fagon recurrente a chaque etage 
de I'arbre d'analyse, pris selon I'ordre des emplacements respectivement 
associes aux etages. Cette methode genere les noeuds de I'arbre d'analyse, en 
15 meme temps qu'elle attribue a chaque nceud cree un sous-ensemble de regies. 
Ainsi, avant ('application de la presente methode au nceud NP, un sous- 
ensemble {Rj} de regies est deja associe a ce noeud, j etant un nombre entier 

de numerotation. 

On suppose que chaque regie Rj attribue une action lorsque, pour 
20 certains emplacements, la chame binaire lue a cet emplacement est comprise 
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dans une plage de valeurs spec.ifiee par cette regie. Cette forme des regies Rj 
correspond a celie des exemples precedents. 

Dans une premiere interrogation 200, on recherche celles des regies Rj 
dont une plage contient le domaine D pour lequel Tare associe est en cours de 
creation. Si aucune des regies Rj ne possede une plage contenant le 
domaine D, alors le point d'arrivee de Tare est une feuille 102, 106 associee a 
Taction definie par defaut O, selon Tetape 201 . 

Dans le cas positif, la seconde interrogation 210 consiste a rechercher 
parmi les regies Rji identifiees lors de Tetape 200, les regies Rj 2 dont au moins 
une plage correspond a un emplacement Eq posterieur a Templacement Ep 
selon I'ordre de tri des emplacements. Si aucune des regies Rp ne possede de 
plage correspondant a un emplacement posterieur a E p , alors (etape 211) le 
point d'arrivee de Tare est une feuille 102, 106 associee a Taction de la regie la 
plus prioritaire parmi les regies Rji identifiees a Tetape 200. 

Dans le cas ou des regies Rj 2 sont identifiees lors de Tetape 210, on 

recherche alors, dans une etape 220, si un noeud NP +1 deja cree dans 
Tetage (p+1) de Tarbre d'analyse est associe au sous-ensemble {Rj 2 } des 
regies identifiees. Dans le cas affirmatif, ce noeud est le point d'arrivee du 
nouvel arc issu du noeud NP (etape 222). Dans le cas negatif, un nouveau 
noeud NP +1 est cree dans Tetage (p+1) et associe au sous-ensemble {Rj 2 } des 
regies identifiees lors de Tetape 210 (etape 221). 

Cette analyse est repetee pour chacun des dbmaines D determines 
pour ('emplacement E p , afin d'etablir Tare issu du noeud NP associe a chacun 
d'eux. Elle est ensuite repetee de fagon identique pour un noeud suivant du 
p-ieme etage de Tarbre d'analyse, jusqu'a epuisement des noeuds de cet 
etage. Enfm, elle est encore iteree pour tous les noeuds de Tetage suivant 
(p+1), de fagon a poursuivre la construction de Tarbre d'analyse. 

Cette methode de creation de nouveaux arcs est mise en oeuvre pour 
la construction d ! un quatrieme arbre correspondant aux regies donnees en 
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reference a la figure 5. De meme que pour la figure 6, les emplacements sont 
classes selon I'ordre objet de I'invention. L'arbre resultant est represents sur la 
figure 9. 

Pour chaque noeud de l'arbre est indique le sous-ensemble de 
5 regies {Rj 2 } associes a ce noeud. Pour les feuilles 106, la ligne 121 indiquent 
les regies Rj<i qui determined, en fonction de leurs priorites relatives, les 
actions associees a ces feuilles et indiquees par la ligne 120. 

Les differents exemples de configuration de memoire Trie detailles 
dans cette demande de brevet montrent Pinteret du procede de I'invention pour 

10 la configuration d'une memoire Trie, Ce procede, grace au classement des 
emplacements, eventuellement combine avec le regroupement des sous- 
arbres d'analyse homologues, permet de reduire le nombre de registres 
necessaires d'une memoire Trie utilisee pour affecter a des cellules ATM des 
actions designees par des regies fixees. Les reductions obtenues dans les 

15 exemples presentes sont en relation avec la simplicity de ces exemples. Pour 
des politiques de controle d'acces reelles, les reductions obtenues par 
Papplication des memes principes peuvent etre consequentes, selon les cas, 
en fonction du nombre de regies, du nombre et de la taille des champs 
consideres, et des intervalles elementaires associes aux champs. 

20 Dans la pratique, la configuration de la memoire Trie selon ('invention 

est effectuee au fur et a mesure de I'introduction de nouvelles regies, ou de la 
suppression de regies, au niveau du gestionnaire de controle d'acces. Ce 
gestionnaire comprend un module de compilation qui construit et modifie les 
arbres d'analyse en fonction des actualisations de regies introduites, avant de 

25 modifier la configuration existante de la memoire Trie. 
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REVENDIC ATIONS 

1. Procede de configuration d'une memoire associative de type Trie 

pour le traitement de paquets de donnees en fonction d'un ensemble de regies, 
la memoire Trie etant utilisee pour I'anaiyse de chaTnes binaires situees a des 
emplacements determines de chaque paquet de donnees, chaque regie 
attribuant une action (110-114) a un paquet en fonction des valeurs desdites 
chaTnes binaires, la memoire Trie comportant des registres composes d'un 
nombre determine de cellules elementaires pour recevoir des references 
respectives, le procede comprenant les etapes suivantes : 

a- pour chacun desdits emplacements, on definit des intervalles 
elementaires consecutifs couvrant des valeurs de chame binaire 
pouvant apparaitre audit emplacement, chaque intervalle 
elementaire etant tel que Taction (110-114) attribute par chacune 
des regies ne soit pas modifiee par un changemeht, a Tinterieur 
dudit intervalle elementaire, de la valeur de la chame binaire situee 
audit emplacement dans un paquet traite ; 

b- on denombre les intervalles elementaires definis pour chaque 
emplacement et on trie les emplacements dans un ordre tel que 
I'emplacement pour lequel le plus grand nombre d'intervalles 
elementaires a ete defini soit place en dernier ; 

c- on traduit I'ensemble de regies en un arbre d'analyse des paquets, 
comprenant des noeuds (100, 101, 103-105, 107, 108) repartis en 
etages successifs respectivement associes aux emplacements 
consideres dans ledit ordre, des arcs (130, 131), et des feuitles (102, 
106) correspondant a des actions attribuables par les regies (120), 
le premier etage de I'arbre comprenant un unique noeud (100) 
appele racine de I'arbre d'analyse, 

chaque arc ayant un noeud de depart associe a un 
emplacement et un point d'arrivee consistant soit en un noeud de 
I'etage suivant celui du noeud de depart soit en une feuille, et etant 
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associe a un domaine respectif de valeurs de chaine binaire 
possibles audit emplacement, 

i'arbre d'analyse definissant des chemins consistant chacun en 
une suite de n arcs (130, 131), n etant un entier au moins ega! a 1, 
le premier arc de la suite etant la racine de I'arbre d'analyse, 

le point d'arrivee de chaque arc d'un chemin autre que le 
dernier arc etant le nceud de depart de Tare suivant dudit chemin, et 
le point d'arrivee du dernier arc du chemin etant une feuille (102, 
106) correspondant a une action attribute d'apres I'ensemble des 
regies a chaque paquet ayant, aux n emplacements respectivement 
associes aux etages des noeuds de depart des n arcs du chemin, 
des valeurs de chaine binaire tombant dans les n domaines 
respectivement associes auxdits arcs ; 

on alloue un groupe de registres de la memoire Trie incluant un 
registre portier a chaque noeud (100, 101, 103-105, 107, 108) de 
I'arbre d'analyse appartenant a un etage associe a un emplacement, 
et on enregistre dans les cellules dudit groupe de registres des 
references telles qu'en anaiysant a partir du registre portier la vaieur 
de chaine binaire contenue audit emplacement dans un paquet, on 

ladite vaieur parmi les domaines de valeurs associes aux arcs ayant 
ledit noeud comme noeud de depart et telle que : 

si Tare associe (131) au domaine contenant ladite vaieur a pour 
point d'arrivee une feuille (102, 106) correspondant a une action 
(120), la reference finale designe ladite action comme etant attribute 
au paquet, et 

si Tare (130) associe au domaine contenant ladite vaieur a un 
autre noeud (101, 103-105, 107, 108) de I'etage suivant pour point 
d'arrivee, la reference finale designe ledit autre noeud pour 
poursuivre en anaiysant la vaieur de chame binaire contenue dans 
le paquet a ['emplacement associe audit etage suivant. 
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2. Procede selon la revendication 1 , suivant lequel, lors de I'etape b, on 
trie lesdits emplacements dans I'ordre des nombres croissants d'intervalles 
elementaires. 

3. Procede selon la revendication 1 ou 2, suivant lequel les intervalles 
5 elementaires definis pour chaque emplacement comprennent des bornes 

d'intervalle, et suivant lequel chaque borne d'intervalle correspond au 
changement d'une action (110-114) attribuable par au moins une regie. 

4. Procede selon I'une quelconque des revendications precedentes, 
dans lequel la traduction de Tensemble de regies est telle qu'au moins un 

10 nceud de I'arbre d'analyse soit le point d'arrivee de plusieurs arcs issus de 
noeuds de depart distincts de I'etage precedent. 

5. Procede selon I'une quelconque des revendications precedentes, 
dans lequel un sous-arbre est associe a chaque nceud de I'arbre d'analyse 
autre que la racine de I'arbre d'analyse, ledit sous-arbre ayant une racine 

15 constitute par ledit noeud et etant compose des nceuds, des arcs et des 
feuilles rencontres a partir dudit nceud le long des differents chemins passant 
par ledit nceud, et dans lequel la traduction de Tensemble de regies est operee 
de facon telle que I'arbre d'analyse n'inclue pas de premier et second sous- 
arbres ayant des racines distinctes et tels qu'on puisse apparier leurs nceuds 

20 respectifs, leurs arcs respectifs et leurs feuilles respectives, de telle sorte que 
chaque nceud du premier sous-arbre soit apparie a un noeud du second sous- 
arbre appartenant au meme etage, que chaque feuille du premier sous-arbre 
soit appariee a une feuille du second sous-arbre correspondant a une meme 
action, et que deux arcs apparies des premier et second sous-arbres aient des 

25 nceuds de depart apparies et des points d'arrivee apparies et soient associes 
au meme domaine de valeurs. 

6 Procede selon I'une quelconque des revendications precedentes, 

dans lequel chaque regie de Tensemble est definie par une action et des 
plages de valeurs correspondant respectivement a certains au moins des 
30 emplacements, et attribue ladite action aux paquets ayant, auxdits 
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emplacements, des valeurs de chaTnes binaires tombant respectivement dans 
lesdites plages. 

7. Procede selon la revendication 6, dans lequel on associe un sous- 
ensemble de regies a chaque noeud d'un (p-M)-ieme etage de I'arbre 

5 d'analyse, p etant un entier plus grand que 0, ledit sous-ensemble etant 
compose des regies de Tensemble telles que chaque plage de valeurs 
correspondant a un emplacement associe a Tun des p premiers etages de 
I'arbre ait un recouvrement non vide avec le domaine de valeurs associe a Tare 
de chaque chemin passant par ledit noeud et ayant son noeud de depart dans 

10 ledit etage, 

8. Procede selon la revendication 7, dans lequel on associe au noeud 
racine un sous-ensemble constitue par I'ensemble des regies, et dans lequel la 
traduction de ('ensemble de regies comprend les etapes suivantes pour chaque 
noeud du p-ieme etage associe a un premier sous-ensemble de regies : 

15 - determiner des domaines de valeurs couvrant des valeurs de chame 

binaire pouvant apparaTtre au p-ieme emplacement selon ledit ordre, 
chaque domaine etant tel que Taction attribute par chacune des regies 
du premier sous-ensemble ne soit pas modifiee par un changement, a 



20 p-ieme emplacement dans un paquet traite ; et 

- pour chacun desdits domaines de valeurs : 

- generer un arc associe audit domaine, ayant ledit noeud du p-ieme 
etage pour noeud de depart ; 

- detecter chaque regie du premier sous-ensemble qui est definie 
25 t par au moins une plage de valeurs incluant ledit domaine ; 

- si aucune regie n'est detectee, affecter une feuille de I'arbre 
correspondant a une action par defaut comme point d'arrivee dudit 
arc ; 

- si pour chaque regie detectee, aucune plage de valeurs ne 
30 correspond a Tun quelconque des emplacements suivant le p-ieme 
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emplacement selon ledit ordre, affecter une feuille de Parbre 
correspondant a une action d'une regie detectee comme point 
d'arrivee dudit arc ; 

- si pour au moins une regie detectee, une plage de valeurs 
correspond a Tun des emplacements suivant le p-ieme 
emplacement selon ledit ordre, affecter un noeud du (p+1)-ieme 
etage de Parbre comme point d'arrivee dudit arc, ledit noeud du 
(p+1)-ieme etage etant associe a un second sous-ensemble 
compose des regies detectees du premier sous-ensemble. 

9. Procede selon la revendication 8, dans lequel des priorites sont 
respectivement allouees aux regies de I'ensemble, et dans lequel lorsque 
plusieurs regies sont detectees et aucune de leurs plages de valeurs ne 
correspond a Tun des emplacements suivant le p-ieme emplacement, Taction 
correspondant a la feuille de Parbre affectee audit arc est celle de Pune des 
regies detectees, selectionnee sur la base des priorites allouees. 

10. Procede selon la revendication 8 ou 9, dans lequel on execute les 
etapes suivantes lorsqu'on a detecte au moins une regie ayant une plage de 
valeurs correspondant a Pun des emplacements suivant le p-ieme 
emplacement : 

- rechercher s'il a deja ete genere un noeud du (p+1)-ieme etage de Parbre 
associe au second sous-ensemble ; 

- si la recherche echoue, generer un tel noeud dans le (p+1)-ieme etage ; 

- si la recherche identifie un noeud du (p+1)-ieme etage, affecter le noeud 
identifie comme point d'arrivee dudit arc. 

11. Dispositif de traitement de paquets de donnees comprenant une 
memoire associative de type Trie et un controleur adapte pour mettre en oeuvre 
un procede de configuration de la memoire Trie selon Pune quelconque des 
revendications precedentes. 

12. Dispositif selon la revendication 1 1, dans lequel les paquets de 
donnees sont des cellules ATM porteuses de trames AAL 5. 
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nil dans lequel les paquets de 
13 . Dispose selon la revend.cat.on 1 1 , dans 

donnees sent des paquets »P- 

~ revend cations 1 1 a ia, 

^ hoc, revendications 1 1 a i-s, 

sirirrs:- r. . — — • - — 

appliquees auxdits paquets. 

rioc: revendications 11 aU 

i..^rir= 

transmis par un reseau de communication. 
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